NFC ve RFID teknolojileriyle temassız hırsızlığa dikkat

Yakın Alan İletişimi (NFC) ve Radyo Frekansı Tanımlama (RFID) teknolojileri, cihazlar arasında kablosuz iletişime olanak sağlıyor ve temassız ödeme süreçlerini, ürün takibini ve erişim kontrolünü kolaylaştırıyor.

Bu teknolojiler artık günlük hayatın bir parçası haline geldi; Ancak bunlar aynı zamanda önemli verilerinizi çalmak için de kullanılabilir ve bu, spor müsabakaları, konserler, toplu taşıma araçları veya süpermarketler gibi yaygın yerlerde farkında olmadan gerçekleşebilir.

ESET Latin Amerika'da siber güvenlik uzmanı olarak görev yapan David González'e göre RFID sistemleri, yükleri, paketleri ve envanterleri organize etmek, istatistikleri ve ilgili bilgileri derlemek için lojistik ortamlarında kullanışlıdır. Ayrıca giyim mağazalarında giysileri ve yerlerini belirlemek, günlük işleyişi kolaylaştırmak ve ekstra bir güvenlik önlemi sağlamak için de kullanılırlar.

NFC sistemleri, cep telefonları ve temassız ödeme kartları gibi yaygın kullanılan yakınlık aygıtlarının temelini oluşturur. Aynı durum yetkili kişilerin erişim ve zaman kontrol sistemleri aracılığıyla binalara girmesini sağlayan kartlar için de geçerlidir.

(Tavsiyemiz: Seyahat ederken konumunuzu Google'da nasıl paylaşırsınız ?)

NFC temassız kartlar ayrıca otel odalarında, turistik dairelerde ve tatil evlerinde elektronik kilitleri açmak için de kullanılıyor ve misafirlerin kartlarını okuyucuya dokundurarak odalarına kolayca erişebilmelerini sağlıyor. Tanımlayıcı bilgilerin yer aldığı çip, bilezik veya anahtarlık gibi diğer ürünlere de entegre edilebiliyor ve böylece misafir deneyimi daha da kişiselleştirilebiliyor.

"Yani, NFC sistemleri aslında RFID teknolojisinin bir parçasıdır, yani RFID tekniklerinin bir alt kümesi olarak düşünülebilirler. Temel fark, RFID bileşenlerinin çok daha büyük mesafelerde çalışabilmesi ve birbirleriyle iletişim kurabilmesidir. Bu, onları çeşitli alanlarda yaygın olarak kullanılır hale getirir," diye belirtiyor González.

Her iki teknolojinin de gelişmesiyle birlikte hırsızlar temassız dolandırıcılığın yeni biçimlerini keşfetmeye, kart bilgilerini ele geçirmeye veya yetkisiz işlemler yapmaya başladılar.

Bunlardan biri de suçluların kurbanın kart bilgilerini kopyaladığı bir dolandırıcılık türü olan skimming. Veriler yakalandıktan sonra, kart kopyalama veya çalınan verileri çevrimiçi işlemlerde kullanarak dolandırıcılık yapmak gibi ek bir adıma ihtiyaç duyulur.

Uzmana göre, " bir dolandırıcı, birisi çok yakın tuttuğunda temassız ödeme kartı verilerini yakalamak için gizli bir NFC veya RFID okuyucu kullanır . Çalınan veriler genellikle PIN'i içermese de, bazı saldırganlar bunu düşük güvenlikli mağazalarda çevrimiçi alışverişlerde kullanabilir."

Önleyici bir tedbir olarak RFID engelleyici cüzdanlar kullanabilir veya kartınızı alüminyum folyoya sarabilirsiniz . Gerçek zamanlı satın alma bildirimlerini etkinleştirmeniz, çevrimiçi satın alımlarda sanal veya geçici kartlar kullanmanız ve işlemleri izlemeniz önerilir.

Bir diğer saldırı türü ise röle saldırısıdır: Bu durumda saldırgan, NFC kartı ile ödeme terminali arasındaki sinyali keserek kartın başka bir yerde mevcutmuş gibi görünmesini sağlar. Bu sayede, ödemelerin mal sahibinin haberi olmadan yapılması mümkün oluyor.

Bunu önlemek için korumalı bir NFC/RFID cüzdanı kullanmanız, kullanmadığınız zamanlarda telefonunuzda temassız alışverişleri devre dışı bırakmanız ve ödemelerde biyometrik kimlik doğrulama (parmak izi veya Face ID) kullanmanız önerilir.

Siber güvenlik uzmanları ayrıca e-cüzdan hackleme veya mobil ödeme veri hırsızlığından da bahsediyor: Bu yöntemde siber suçlular, ödeme uygulamalarındaki (Apple Pay veya Google Pay gibi) güvenlik açıklarından yararlanıyor veya halka açık Wi-Fi ağlarındaki verileri ele geçiriyor ve kullanıcının hesabına eriştiklerinde yetkisiz ödemeler yapabiliyorlar.

Siber güvenlik firması Kaspersky, siber suçluların birden fazla akıllı telefon satın aldığını, bunlarda Apple veya Google hesapları oluşturduğunu ve temassız ödeme uygulamaları yüklediğini söylüyor. Mağdur sahte bir internet sitesini ziyaret ettiğinde kartını bağlaması veya küçük bir zorunlu ödeme yapması isteniyor. Bunun için kart bilgilerinin girilmesi ve tek kullanımlık şifre (OTP) girilerek kart sahipliğinin doğrulanması gerekiyor.

Kart, harcamaları hemen kaydetmese bile, veriler neredeyse anında siber suçlulara aktarılıyor ve ardından suçlular bunu akıllı telefonlarındaki mobil cüzdanlarına bağlamaya çalışıyorlar. "İşlemi hızlandırmak ve basitleştirmek için saldırganlar, kurbanın sağladığı verileri alan ve kartın mükemmel bir kopyasını oluşturan özel bir yazılım kullanır. Ardından, bu görüntünün Apple Pay veya Google Wallet'tan bir fotoğrafını çekin.

Bu düzene karşı koymak için güçlü parolalar belirlemeniz ve iki aşamalı kimlik doğrulamayı etkinleştirmeniz, asla halka açık Wi-Fi ağlarında ödeme yapmamanız ve çevrimiçi işlemlerde kartı kullanmadan önce kartınıza para yükleyerek çalışan sanal kartları kullanmanız önerilir . Ayrıca sanal kartlara yüklü miktarda para yatırmamanız ve yalnızca internetten alışveriş yapmadan hemen önce bakiye yüklemeniz önerilir. Kartınızı veren kuruluş izin veriyorsa, bu kartlar için çevrimdışı ödemeleri ve nakit çekimlerini devre dışı bırakın. Ayrıca işlemlerinizi takip etmek için her zaman tetikte olun.

Hırsızlığın bir diğer biçimi ise sahte NFC okuyucularının takılmasıdır: Bu davranış, dolandırıcıların ödeme terminallerine veya ATM'lere değiştirilmiş bir NFC okuyucusu yerleştirmesini ve kart veya cep telefonu geçirildiğinde kullanıcının verilerini ele geçirmesini içerir.

Bu durumda, ödeme terminaline şüpheli herhangi bir şeyin eklenmediğini veya değiştirilmediğini kontrol etmek her zaman önemlidir. Mümkün olduğunda sadece NFC yerine çipli ve PIN'li kartlar da kullanılabilir ve bilinmeyen cihazlarda NFC ödemeleri kabul edilemez.

Benzer şekilde bir diğer tehlike de NFC kimlik avıdır: Dolandırıcıların veya siber suçluların kullanıcıları kandırarak telefonlarını sahte bir NFC çipine yaklaştırıp kötü amaçlı bir web sitesine yönlendirmeye çalıştığı bir tekniktir .

Kaspersky, kullanıcıların cihazlarını değiştirilmiş NFC okuyucusuna yaklaştırdıklarında kimlik avı sitelerine yönlendirilebilecekleri, cihazlarında istenmeyen eylemler başlatılabileceği veya hatta kötü amaçlı yazılım gönderilebileceği konusunda uyarıyor. Şirket uyarısında, hırsızların ulaşım merkezleri, kafeler veya perakende mağazaları gibi yoğun trafiğe sahip alanlarda gerçek bir okuyucuyu, zararlı davranışları tetikleyen bir okuyucuyla değiştirebileceği belirtildi.

NFC etiketlerini şüpheli konumlarda taramamanız ve telefonunuzu NFC bağlantılarını açmadan önce onay isteyecek şekilde ayarlamanız önerilir.

ESET Latin Amerika'da BT güvenlik uzmanı olan David González, "Bu tür saldırıların kurbanlarının sayısı ülkeden ülkeye değişiyor. Ancak çipli olmayan kartlarla ilgili dolandırıcılıkların özellikle Noel, Sevgililer Günü ve Yılbaşı gibi yoğun harcama dönemlerinde arttığı bir gerçek" dedi.

Diego Barrio de Mendoza (*)

(*) EL TIEMPO'dan alınan ek bilgilerle.